Opciones de anulación de acciones para grupos de reglas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
La acción de la regla del grupo de reglas anulaEl grupo de reglas devuelve la acción de anulación a Count

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Opciones de anulación de acciones para grupos de reglas

Cuando agrega un grupo de reglas a su ACL web, puede anular las acciones que realiza cuando las solicitudes web coinciden. Si se anulan las acciones de un grupo de reglas en la configuración de la ACL web, no se altera el grupo de reglas en sí. Solo altera la forma en que se AWS WAF usa el grupo de reglas en el contexto de la ACL web.

La acción de la regla del grupo de reglas anula

Puede anular las acciones de las reglas dentro de un grupo de reglas para cualquier acción de regla válida. Al hacerlo, las solicitudes coincidentes se gestionan exactamente como si la acción de regla configurada fuera la configuración de anulación.

nota

Las acciones de la regla pueden ser de finalización o no. Una acción de finalización detiene la evaluación de la solicitud por parte de la ACL web y permite que continúe con la aplicación protegida o la bloquea.

Estas son las opciones de la acción de la regla:

  • Allow— AWS WAF permite reenviar la solicitud al AWS recurso protegido para su procesamiento y respuesta. Se trata de una acción de finalización. En las reglas que defina, puede insertar encabezados personalizados en la solicitud antes de reenviarla al recurso protegido.

  • Block— AWS WAF bloquea la solicitud. Se trata de una acción de finalización. De forma predeterminada, el AWS recurso protegido responde con un código de 403 (Forbidden) estado HTTP. En las reglas que defina, puede personalizar la respuesta. Cuando AWS WAF bloquea una solicitud, la configuración de la Block acción determina la respuesta que el recurso protegido envía al cliente.

  • Count— AWS WAF cuenta la solicitud pero no determina si se permite o se bloquea. Se trata de una acción no terminal. AWS WAF continúa procesando las reglas restantes en la ACL web. En las reglas que defina, puede insertar encabezados personalizados en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.

  • CAPTCHAy Challenge: AWS WAF usa acertijos CAPTCHA y desafíos silenciosos para verificar que la solicitud no proviene de un bot, y AWS WAF usa fichas para rastrear las respuestas recientes de los clientes que han obtenido buenos resultados.

    Los acertijos de CAPTCHA y los desafíos silenciosos solo se pueden ejecutar cuando los navegadores acceden a puntos finales HTTPS. Los clientes del navegador deben ejecutarse en contextos seguros para poder adquirir los tokens.

    nota

    Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte AWS WAF Precios.

    Estas acciones de regla pueden ser de finalización o no, según el estado del token de la solicitud:

    • No se cancela para un token válido y no caducado: si el token es válido y no ha caducado según el CAPTCHA configurado o el tiempo de inmunidad de impugnación, AWS WAF gestiona la solicitud de forma similar a la acción. Count AWS WAF continúa inspeccionando la solicitud web en función de las demás reglas de la ACL web. Al igual que en la configuración de Count, en las reglas que defina, puede configurar opcionalmente estas acciones con encabezados personalizados para insertarlos en la solicitud y puede agregar etiquetas con las que puedan coincidir otras reglas.

    • Finalizar con una solicitud bloqueada de un token no válido o caducado: si el token no es válido o la marca de tiempo indicada ha caducado, AWS WAF finaliza la inspección de la solicitud web y bloquea la solicitud, de forma similar a la acción. Block AWS WAF luego responde al cliente con un código de respuesta personalizado. PuesCAPTCHA, si el contenido de la solicitud indica que el navegador del cliente puede gestionarla, AWS WAF envía un acertijo CAPTCHA en un JavaScript intersticial, diseñado para distinguir a los clientes humanos de los bots. Para elloChallenge, AWS WAF envía un JavaScript intersticial con un desafío silencioso diseñado para distinguir los navegadores normales de las sesiones ejecutadas por bots.

    Para obtener información adicional, consulte CAPTCHAy Challenge en AWS WAF.

Para obtener información acerca de cómo utilizar esta acción, consulte Invalidar acciones de reglas en un grupo de reglas.

Anulación de la acción de regla para Count

El caso de uso más común para anular las acciones de reglas es anular algunas o todas las acciones de la regla para Count, con el fin de probar y supervisar el comportamiento de un grupo de reglas antes de ponerlo en producción.

También puede utilizar esto para solucionar problemas relacionados con un grupo de reglas que esté generando falsos positivos. Los falsos positivos se producen cuando un grupo de reglas bloquea el tráfico que no se espera que bloquee. Si identifica una regla dentro de un grupo de reglas que bloquee solicitudes que desea permitir, puede mantener la anulación de la acción de recuento en esa regla para evitar que actúe sobre sus solicitudes.

Para obtener más información acerca de cómo utilizar la anulación de la acción de las reglas en las pruebas, consulte Probando y ajustando sus AWS WAF protecciones.

Lista de JSON: RuleActionOverrides reemplaza a ExcludedRules

Si configuró las acciones de las reglas del grupo de reglas Count en su configuración de ACL web antes del 27 de octubre de 2022, AWS WAF guardó las anulaciones en la ACL web JSON como. ExcludedRules Ahora la configuración JSON para anular una regla en Count se encuentra en la configuración RuleActionOverrides.

Al utilizar la AWS WAF consola para editar la configuración del grupo de reglas existente, la consola convierte automáticamente cualquier ExcludedRules configuración del JSON en RuleActionOverrides configuración, con la acción de anulación establecida en. Count

  • Ejemplo de configuración actual: 

           "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "RuleActionOverrides": [
            {
              "Name": "AdminProtection_URIPATH",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]

  • Ejemplo de configuración anterior: 

    OLD SETTING
       "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAdminProtectionRuleSet",
          "ExcludedRules": [
            {
              "Name": "AdminProtection_URIPATH"
            }
          ]
OLD SETTING

Le recomendamos que actualice todas las configuraciones de ExcludedRules de sus listas JSON a las configuraciones de RuleActionOverrides con la acción establecida en Count. La API acepta cualquier configuración, pero si solo utiliza la nueva configuración de RuleActionOverrides, conseguirá coherencia en sus listas JSON entre el trabajo de la consola y el de la API.

El grupo de reglas devuelve la acción de anulación a Count

Puede anular la acción que devuelve el grupo de reglas, configurándola en Count.

nota

Esta no es una buena opción para probar las reglas de un grupo de reglas, ya que no altera la forma en que AWS WAF se evalúa el propio grupo de reglas. Solo afecta a la forma en que se AWS WAF gestionan los resultados que se devuelven a la ACL web a partir de la evaluación del grupo de reglas. Si desea probar las reglas de un grupo de reglas, utilice la opción descrita en la sección anterior, La acción de la regla del grupo de reglas anula.

Al anular la acción del grupo de reglas paraCount, AWS WAF procesa la evaluación del grupo de reglas con normalidad.

Si ninguna regla del grupo de reglas coincide o si todas las reglas coincidentes tienen una acción Count, esta anulación no afecta al procesamiento del grupo de reglas ni a la ACL web.

La primera regla del grupo de reglas que coincide con una solicitud web y que tiene una acción de regla de finalización hace AWS WAF que deje de evaluar el grupo de reglas y devuelva el resultado de la acción de finalización al nivel de evaluación de la ACL web. En este punto, en la evaluación de la ACL web, esta anulación entra en vigor. AWS WAF anula la acción de finalización para que el resultado de la evaluación del grupo de reglas sea solo una acción. Count AWS WAF a continuación, continúa procesando el resto de las reglas de la ACL web.

Para obtener información acerca de cómo utilizar esta acción, consulte Sustitución del resultado de la evaluación de un grupo de reglas por Count.